Backdoor SolarWinds Orion IT-software: Kaspersky deelt eerste analyse van Sunburst-malware en publiceert decoder om gerichte gebruikers te helpen

| Kaspersky | 3 min | 18 december 2020 17:03
Copyright: FireEye
Enkele dagen geleden werd een nieuw ontdekte supply chain-aanval gemeld. Een onbekende aanvaller, genaamd UNC2452 of DarkHalo, plaatste een achterdeur in de SolarWinds Orion IT-software, die werd gedownload door meer dan 18.000 SolarWinds-klanten. Kaspersky onderzocht deze backdoor, geleverd in de vorm van een .NET-module, die een aantal interessante en vrij unieke functies bleek te hebben.

Volgens de experts is de supply chain-aanval op een zeer professionele manier opgezet, met een duidelijke focus om zo lang mogelijk onopgemerkt te blijven. Voordat de eerste internetverbinding met zijn communicatie- en controleservers wordt gemaakt, blijft de Sunburst-malware bijvoorbeeld tot wel 2 weken inactief, waardoor dit gedrag niet gemakkelijk in sandboxen kan worden gedetecteerd. Dit verklaart waarom deze aanval zo moeilijk te herkennen was.

In de beginfase communiceert de Sunburst met de C & C-server door gecodeerde DNS-verzoeken (Domain Name System) te sturen. Deze verzoeken bevatten informatie over de geïnfecteerde computer om de aanvaller te laten weten of het de moeite waard is om de infectie verder te ontwikkelen of niet.

Analyse Kaspersky

Gebruikmakend van het feit dat DNS-verzoeken die door Sunburst worden gegenereerd een deel van de informatie van het doelwit coderen, evenals openbaar beschikbare scripts om de DNS-verzoeken te decoderen, creëerden Kaspersky-onderzoekers hun eigen tools. Zo konden ze meer dan 1700 DNS-records die bij het incident betrokken waren, verder analyseren. Dat leidde tot ruim 1000 unieke doelnaamonderdelen en ruim 900 unieke gebruikers-ID's. Hoewel dit een groot aantal lijkt, waren de aanvallers vermoedelijk alleen geïnteresseerd in wat zij als waardevolle doelen beschouwden. Zo leken er twee speciaal te zijn. Echter, konden ze niet gemakkelijk worden gedecodeerd, vergelijkbaar met een soort cryptografische puzzel.

Uit de analyse is gebleken dat drie van de speciale DNS-verzoeken die "CNAME" -antwoorden hebben ontvangen, duidend op een hoogwaardig doelwit, kunnen worden gedecodeerd in twee domeinnamen toebehorend aan een overheidsorganisatie en een telecommunicatiebedrijf in de VS. Om ethische redenen maakt Kaspersky deze exacte domeinnamen hier niet bekend. Wel heeft het bedrijf de twee organisaties op de hoogte gebracht en biedt haar ondersteuning om, indien nodig, verdere kwaadaardige activiteiten te ontdekken.

“We hebben de afgelopen dagen onze eigen telemetrie gecontroleerd op tekenen van deze aanval, aanvullende detecties geschreven en ervoor gezorgd dat onze gebruikers beschermd zijn. Op dit moment hebben we ongeveer 100 klanten geïdentificeerd die het getrojaniseerde pakket met de Sunburst-backdoor hebben gedownload. Verder onderzoek is aan de gang en we zullen onze bevindingen blijven updaten ”, zegt Costin Raiu, hoofd van Kaspersky's Global Research and Analysis-team.

Broncode voor decoder

Om de gemeenschap te helpen mogelijk andere interessante doelen voor de aanvallers te identificeren, publiceerde Kaspersky de broncode voor de decoder: https://github.com/2igosha/sunburst_dga.

Meer details en maatregelen met betrekking tot Sunburst, UNC2452 / DarkHalo zijn beschikbaar voor klanten van Kaspersky Intelligence Reporting. Neem contact op met: intelreports@kaspersky.com.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Kaspersky
Kaspersky is een wereldwijd opererend cybersecuritybedrijf opgericht in 1997. Zowel consumenten, overheidsinstanties als bedrijven vertrouwen op de uitgebreide expertise op het vlak van dreigingsinformatie en de meest geavanceerde beveiligingsoplossingen en -diensten van Kaspersky ter bescherming van kritieke infrastructuren en (eco)systemen.
Meer over Kaspersky
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191030103431.png
Conference by app developers, for app developers!
20191030101402.jpg
De grootste Nederlandse site over Android
20191029200614.jpg
Drive value with data
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.